Website LeakedSource die gekraakte wachtwoorddatabases aanbood is offline

LeakedSource, een controversiële site die gegevens uit uitgelekte databases te koop aanbiedt, is momenteel offline. In een forumpost zegt een gebruiker dat dit het gevolg is van een politieactie en dat de site niet meer terug zal komen.

In het bericht, dat ook via Pastebin te lezen is, zegt een gebruiker met de naam 'LTD' dat er een inval bij LeakedSource heeft plaatsgevonden waarbij alle ssd's in beslag zijn genomen. De eigenaar zou niet zijn opgepakt en alle servers zouden onderzocht worden. Ars Technica heeft een poging ondernomen om contact met de personen achter te site op te nemen, zonder succes. Volgens de site was LeakedSource ongeveer vijftien maanden online. De identiteit van de forumposter is onbekend.

Via de website LeakedSource, die toegang verschafte tot meer dan drie miljard wachtwoorden, konden gebruikers gratis opzoeken of hun gegevens voorkwamen in een uitgelekte database. Tegen betaling was het mogelijk alle databases te doorzoeken, die volgens Ars Technica ook door LeakedSource zelf werden gekraakt. Hierdoor was het mogelijk om bijvoorbeeld bestaande accounts binnen te dringen, als deze met hetzelfde wachtwoord beveiligd waren dat in een gekraakte database voorkwam.

Beveiligingsonderzoeker Troy Hunt biedt een soortgelijke dienst aan onder de naam 'HaveIbeenpwned'. Het verschil met LeakedSource is dat hij personen alleen laat controleren of hun gegevens in een uitgelekte database voorkomen. Hij biedt geen toegang tot de gegevens zelf. Via zijn website is bijvoorbeeld te controleren of een gebruikersnaam of e-mailadres voorkomt in een gehackte database, zoals die van Adobe, MySpace, LinkedIn en Dropbox.

Hunt reageert in een eigen blogpost op het nieuws en schrijft dat er bij hem 'nooit twijfel heeft bestaan dat de site voor destructieve doeleinden werd gebruikt'. Hij hoopt dat degene achter de site 'er opnieuw over nadenkt hoe er op ethische wijze met persoonlijke gegevens om kan worden gegaan'.

Het is niet bekend wie er achter LeakedSource zitten. Wired schreef in december een achtergrondartikel over de dienst, daarin staat dat sommige personen achter de website nog op school zitten.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 27-01-2017 14:06
29 • submitter: Neat

27-01-2017 • 14:06

29 Linkedin

Submitter: Neat

Lees meer

Verzameling met 2,2 miljard accounts stond online Nieuws van 31 januari 2019
'Authenticatiedienst OneLogin bagatelliseert datalek in VS' Nieuws van 1 juni 2017
Uitgebreide gegevens van 33,7 miljoen Amerikaanse zakencontacten lekken uit Nieuws van 15 maart 2017
Lek in Kamernet gaf toegang tot 1,3 miljoen privéberichten Nieuws van 6 februari 2017
Hack bij forum CD Projekt RED trof 1,9 miljoen accounts - update Nieuws van 31 januari 2017
'Helft datalekken gemeenten niet gemeld aan Autoriteit Persoonsgegevens' Nieuws van 28 januari 2017
Crimineel eiste 100.000 dollar van e-sportsbedrijf ESEA na hack Nieuws van 10 januari 2017
'Gegevens van 1,5 miljoen accounts van e-sportswebsite ESEA verschijnen online' Nieuws van 9 januari 2017
87,6 miljoen accounts Dailymotion liggen op straat na hack Nieuws van 5 december 2016
Gegevens 339,7 miljoen accounts Adultfriendfinder-site komen online Nieuws van 14 november 2016
Gegevens 98 miljoen accounts van Russische portal staan online na hack Nieuws van 6 september 2016
Vier jaar oude hack op Last.fm trof 43,5 miljoen gebruikers Nieuws van 1 september 2016
Hackers maken gegevens buit op gameforums van Funcom Nieuws van 25 augustus 2016
Epic Games waarschuwt dat e-mailadressen zijn buitgemaakt bij forumhack Nieuws van 23 augustus 2016
Inloggegevens van 1,9 miljoen Dota 2-forumleden lekken uit Nieuws van 10 augustus 2016
Hacker steelt gegevens van 1,6 miljoen accounts Clash of Kings-forum Nieuws van 22 juli 2016
Gegevens 100 miljoen accounts sociaal netwerk VK.com aangeboden op internet Nieuws van 6 juni 2016
Meer producten en artikelen
Netwerk en systeembeheer Datalek Security

Reacties (29)

-Moderatie-faq
29
28
16
3
1
12
Wijzig sortering
AnonymousWP
27 januari 2017 14:12
Oei. Ik ben heel erg benieuwd wat er met de gegevens gaat gebeuren die op de servers staan/stonden. Want als jouw gegevens er nog gewoon op staan, dan zou ik me niet zo veilig voelen. Maar hopen dat alles verwijderd word qua gegevens. Toch niet zo betrouwbaar als het lijkt dus, want ze kochten dus gewoon gehackte databases op, om hun eigen database te vullen. Zelfs het Twitter account is verwijdert: https://twitter.com/search?q=%23leakedsource

Omdat dit (LeakedSource) tóch niet zo'n betrouwbare site leek, hier wat info over https://haveibeenpwned.com/ die naar alle waarschijnlijkheid wél betrouwbaar(der) is:

Via de volgende link kun je je username of e-mail adres invoeren en zien of je voorkomt in de/een datalek:

https://haveibeenpwned.com/

Via deze link kan je jezelf laten notificeren als jouw gegevens ineens wel voorkomen in een databreach: https://haveibeenpwned.com/NotifyMe

En ook via deze website, kan je jezelf uitschrijven (opt-out) voor de database van haveibeenpwned.com. Dat kan hier: https://haveibeenpwned.com/OptOut

Zie de FAQ voor info over hoe de website met jouw gegevens omgaat: https://haveibeenpwned.com/FAQs

Voor de beheerders is er een Domain Search optie. Nadat je hebt bewezen dat je beheerder bent van een bepaald domein krijg je van e-mailaccounts binnen dat domein te zien of ze bij bekende breaches betrokken zijn. Als systeembeheerder kun je dan je medewerkers informeren. Aangezien mensen geneigd zijn wachtwoorden te hergebruiken kan zo'n lek immers gevolgen hebben voor andere accounts van je bedrijf. Dat kan via de volgende link: https://haveibeenpwned.com/DomainSearch

Troy Hunt is één van de bekendste beveiligingsonderzoekers. Hij houdt een database bij wat draait op Microsoft Azure. Tevens is hij beveiligingsonderzoeker bij Microsoft. Ik zeg niet dat ik hem 100% vertrouw, maar dit geeft meer vertrouwen dan een website als LeakedSource, waarbij de eigenaar zichzelf niet kan identificeren.

[Reactie gewijzigd door AnonymousWP op 27 januari 2017 15:07]

SteveWoz
@AnonymousWP27 januari 2017 19:26
Tevens is hij beveiligingsonderzoeker bij Microsoft.
Stop even met het verkondigden van het feit dat Troy Hunt beveiligingsonderzoeker bij Microsoft zou zijn. Dit is al vaker genoemd op tweakers, maar hij is een Regional Director en dus niet in dienst van Microsoft.
robertpNL
@AnonymousWP27 januari 2017 14:41
Wat maakt 'Haveibeenpwned.com' nou anders dan LeakedSourced dan alleen meer uitleg en functionaliteiten om zichzelf betrouwbaar over te laten komen? Maar wie is de eigenaar? Ken ik die? Misschien verzamelt hij stiekem emailadressen en verkoopt hij die door? Ik weet het niet.

Nee. Ik vertrouw wat dat betreft geen enkele site op dit vlak. Gewoon je boerenverstand gebruiken en per site een ander wachtwoord gebruiken. En ligt mijn email dan op straat, dan is dat zo. Maar ik hoef dan geen gebruik te maken van zulke sites.
dutchgio
@robertpNL27 januari 2017 15:19
Bij HaveIBeenPwned krijg je alleen te zien dát je wachtwoord 'compromised' is door een bekend geworden (database-)lek, en dus je wachtwoord moet veranderen.
Bij LeakedSource gingen ze een stap verder door de aangeboden databases op te kopen (daarmee criminelen te betalen!) en deze te kraken zodat de daadwerkelijke wachtwoorden ook bekend zijn. Deze zijn vervolgens door een betaald account bij LeakedSource te hebben ook inzichtelijk voor dezen en genen, dus ook de info van andere accounts.
Een wezenlijk verschil met HaveIBeenPwned, dat vooral informatief en beschermend is ten aanzien van je eigen accounts.
LeakedSource verleent een hulpmiddel aan misbruik met een eigen financieel belang.
AnonymousWP
@robertpNL27 januari 2017 14:46
Troy Hunt is één van de bekendste beveiligingsonderzoekers. Hij houdt een database bij wat draait op Microsoft Azure. Tevens is hij beveiligingsonderzoeker bij Microsoft. Ik zeg niet dat ik hem 100% vertrouw, maar dit geeft meer vertrouwen dan een website als LeakedSource, waarbij de eigenaar zichzelf niet kan identificeren.
Yggdrasil
@AnonymousWP29 januari 2017 01:23
Troy Hunt werkt niet bij Microsoft maar is een onafhankelijk onderzoeker en security evangelist, met een focus op Microsoft. Hij heeft een goed imago in het ethisch omgaan met lekken en privégegevens.
Yggdrasil
@robertpNL29 januari 2017 01:37
Dat is een heel verstandige instelling. Ook ik gebruik voor elke site een ander sterk wachtwoord.

Bedenk wel dat de data die haveibeenpwned.com indexeert al uitgelekt is en dat kwaadwillenden deze vaak al uitwisselen via ondergrondse websites. Het is vaak niet alleen je e-mailadres en wachtwoord dat op straat ligt maar ook andere gegevens.

Het zijn juist de 'eigenaars' van een account die niet weten dat deze uitgelekt is en het is goed dat een site hen hiervan op de hoogte stelt, zolang dit op ethische wijze gebeurt. Van de uitgelekte gegevens is een e-mailadres vaak het minst waardevolle. Hunt heeft over de jaren bewezen dit netjes te doen. Hoeveel waarde je aan zijn imago hecht moet je zelf bepalen maar ik vind dat hij de balans goed weet in te schatten.
Stoelpoot
@AnonymousWP27 januari 2017 15:04
Leakedsource was inderdaad erg onbetrouwbaar. Persoonlijk voel ik me veiliger nu die gegevens in de hand van de autoriteiten zijn.

HaveIBeenPwned is voor mij een veiliger ogend alternatief. De beheerder is een bekende Microsoft partner die zich specialiseert in beveiliging. Daarnaast slaat hij *geen* wachtwoorden op, in tegenstelling tot LeakedSource geloof ik.

Tenslotte ook fijn in HaveIBeenPwned: 'Gevoelige' leaks, zoals Ashley Madison, moet je eerst je mailadres voor verifiëren om te kunnen zien of je erin staat.
AnonymousWP
@Stoelpoot27 januari 2017 15:07
Het lijkt me stug dat hij geen wachtwoorden opslaat, want daar is de site immers voor bedoelt :p. Ik denk dat het eerder is: hij heeft geen inzage in de wachtwoorden als plain-text, en ik denk ook dat ze versleuteld zullen zijn. Want zelf zal hij dan ook de privacy schenden van gebruikers.
Stoelpoot
@AnonymousWP27 januari 2017 15:12
De website is er juist niet voor bedoelt. Hij slaat enkel de email addressen op en de breaches waarin ze voorkomen. Als je je mailadres op zoekt, krijg je een lijstje met de breaches waar jouw mailadres in is gevonden, en wat voor gegevens de breach bevatte.
AnonymousWP
@Stoelpoot27 januari 2017 15:26
Nee, je kunt namelijk ook pastes bekijken. Die zijn hier te vinden: https://haveibeenpwned.com/Pastes

Zoals ik dus al vermoedde, worden de wachtwoorden inderdaad gehasht opgeslagen.
One of the attractions of paste services is that there are no constraints on the structure of the content that can be published there. Consequently, pastes containing email addresses may be very self-explanatory or appear completely obscure. However, there are some common patterns which appear.

Database dumps: These will often take the form of scripts that can be run to recreate the database structure. They typically contain comma-delimited fields representing different columns in the database, often with passwords which may be secured with a cryptographic hash.
Stoelpoot
@AnonymousWP27 januari 2017 15:33
Oh ja, de pastes zijn inderdaad wel volledig. Dat is inderdaad zo, de pastes zijn eigenlijk de 'raw data' die wordt ingeladen voordat de breaches goed geverifieerd kunnen zijn, zodat je snel kan zien of je ergens in zit.

De database van breaches die Troy zelf bijhoud is (voor zover ons wordt verteld) password-vrij.
thalantis
@AnonymousWP27 januari 2017 14:32
Leakedsourced vroeg ook geld als je meer gegevens wou zien dat liep op tot 300 euro per jaar
AnonymousWP
@thalantis27 januari 2017 14:35
Weet ik, dat klopt, want dat staat ook in de tekst:
Tegen betaling was het mogelijk alle databases te doorzoeken, die volgens Ars Technica ook door LeakedSource zelf werden gekraakt. Hierdoor was het mogelijk om bijvoorbeeld bestaande accounts binnen te dringen, als deze met hetzelfde wachtwoord beveiligd waren dat in een gekraakte database voorkomt.
joostsozee
@AnonymousWP27 januari 2017 14:55
Voor de beheerders is er een Domain Search optie. Nadat je hebt bewezen dat je beheerder bent van een bepaald domein krijg je van e-mailaccounts binnen dat domein te zien of ze bij bekende breaches betrokken zijn. Als systeembeheerder kun je dan je medewerkers informeren. Aangezien mensen geneigd zijn wachtwoorden te hergebruiken kan zo'n lek immers gevolgen hebben voor andere accounts van je bedrijf. Dat kan via de volgende link: https://haveibeenpwned.com/DomainSearch
In verband met een project rondom bewustwording van informatie veiligheid vind ik dit heel interessant. Dank. Was wel makkelijker geweest als ik de dump gewoon kon downloaden en er in kon zoeken / filteren op domeinnaam.
Stoelpoot
@joostsozee27 januari 2017 15:30
Ja, dat zouden wel meer mensen makkelijk vinden :P Daarom laat hij het ook niet toe.
joostsozee
@Stoelpoot27 januari 2017 15:33
Inmiddels gelukt via de webmaster, over de 1.000 hits :9
Stoelpoot
@joostsozee27 januari 2017 15:43
Oei... You may or may not have been pwned :9
Xfade
@AnonymousWP27 januari 2017 15:58
Dus je voelde je wel veilig toen die gegevens nog gewoon verkocht konden worden?
AnonymousWP
@Xfade27 januari 2017 16:20
Nee, maar dat zeg ik toch ook niet?
xiphoid
@AnonymousWP27 januari 2017 16:29
Data is al jaren goud waard, en nu heeft de overheid deze data, en snapt ook beter hoe eraan gekomen wordt, en dus hoe ze het zelf kunnen doen.

Dat men er misbruik van maakt, natuurlijk. Maar ik vond het wel erg handig op LS te zien welke data van mij er was, of die data klopt, en hoe echt oud deze data is. Alle tijdelijke weggooi accountjes met makkelijke wachtwoorden waren bijvoorbeeld beschikbaar, maar alles wat ik serieus gebruik en ondertussen al unieke, sterke, en lange wachtwoorden gebruikt, stond er niet tussen.

Verder, om misbruik te voorkomen heb ik profiel van familie en vrienden gemaakt en hun hiervan een berichtje gegeven, en nu nemen ze hun logins ook serieuzer. Toen ik ze haveibeenpwned liet zien, was het schouders omhoog en 'het zal wel', maar als ze hun wachtwoord 'konijntje666' van LS zien, dan schrikken ze zich toch wel even rot. En met de opmerking 'wie weet hoe lang er al mensen je berichten lezen zonder dat jij het weet', en opeens ondernemen ze actie.

Maar ja, zo een site offline halen, de overheid moest eens weten hoeveel sites er zijn die niet publiek zijn en ze niet eens vanaf weten - waar ze 'echt' met het doel misbruik hebben. Deze offline halen zorgt er alleen maar voor dat nieuwsgierige niet meer kunnen snuffelen.

Maar ik snap het wel, ik vind het jammer dat LS het doet om geld mee te verdienen. Via ads vind ik prima, maar criminelen betalen en toegang verkopen is niet netjes.

[Reactie gewijzigd door xiphoid op 27 januari 2017 16:30]

AnonymousWP
@zovty27 januari 2017 15:20
Ik werk niet voor Microsoft noch voor haveibeenpwned. Het doel van mijn post was om mensen te informeren en ze wat meer info te geven (onder andere hoe havibeenpwned met je gegevens omgaat). Hoe zou het dan een reclamepost kunnen zijn? :?
Nylato
27 januari 2017 14:35
Vind het best wel jammer dat het weg is. Ik gebruikte leakedsourced. vooral om te kijken welke wachtwoorden van mij achterhaalt waren zodat ik die niet meer kon gebruiken.

haveibeenpwned laat alleen zien dat er iets was geleaked alleen niet zo specifiek op wat percies zoals op leakedsourced het deed.
AnonymousWP
@Nylato27 januari 2017 14:37
haveibeenpwned laat alleen zien dat er iets was geleaked alleen niet zo specifiek op wat percies zoals op leakedsourced het deed.
Wat bedoel je precies? In de beschrijvingen van leaks staat precies wat er is buitgemaakt bij de hack, en of het een sensitive en/of unverified breach is of niet. Kijk hier maar eens als voorbeeld: https://haveibeenpwned.com/PwnedWebsites#MySpace
In approximately 2008, MySpace suffered a data breach that exposed almost 360 million accounts. In May 2016 the data was offered up for sale on the "Real Deal" dark market website and included email addresses, usernames and SHA1 hashes of the first 10 characters of the password converted to lowercase and stored without a salt. The exact breach date is unknown, but analysis of the data suggests it was 8 years before being made public.

Compromised data: Email addresses, Passwords, Usernames
Nylato
@AnonymousWP27 januari 2017 14:39
Dat je niet ziet welk wachtwoord het is geweest. er staat alleen bij dat je password is geleaked
AnonymousWP
@Nylato27 januari 2017 14:43
Ja, omdat dat volkomen onveilig is. Dat zou namelijk beteken dat je gewoon andermans e-mailadres kan invoeren, en dan zo het wachtwoord/de wachtwoorden te zien krijgt. Dat lijkt me niet helemaal de bedoeling. Bovendien is dat niet nodig, want je kan bij die dienst nog gewoon op "wachtwoord vergeten" klikken, mocht je je wachtwoord vergeten zijn.
Nylato
@AnonymousWP27 januari 2017 14:47
Het zal wel aan mij liggen maar ik vond het best veilig voor mezelf. Ik controleerde het dus regelmatig zo wist ik dus ook welke wachtwoorden ik gewoon niet meer moest gaan gebruiken.
AnonymousWP
@Nylato27 januari 2017 14:51
Dat klopt, en dat is ook zo hoor. Daar geef ik je helemaal gelijk in. Daarom is het ook zo belangrijk om je wachtwoorden op te slaan in bijvoorbeeld KeePass.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee